Présence de virus dans l’équipement médical

Guy Kindermans Rédacteur de Data News

Les experts médicaux se font toujours plus de souci à propos de la présence de malware dans l’équipement médical tournant sous des systèmes d’exploitation désuets.

Les experts médicaux se font toujours plus de souci à propos de la présence de malware dans l’équipement médical tournant sous des systèmes d’exploitation désuets.

Un groupe de discussion du gouvernement américain a récemment évoqué la menace croissante que représentent les maliciels (malware) dans l’équipement médical, peut-on lire dans la Technology Review du MIT. Le fait que ce genre d’équipement soit constitué en substance depuis belle lurette d’ordinateurs souvent connectés dans des réseaux, n’est évidemment pas neuf. Mais le problème est plutôt que nombre de ces systèmes tournent sous une ancienne version de systèmes d’exploitation pour lesquels aucune mise à jour et/ou correctif n’a plus été proposé contre le malware. Et de faire référence ici tout particulièrement à Windows, même si ce n’est pas le seul système d’exploitation concerné. Le problème prend encore plus d’ampleur du fait que les fabricants de ce genre d’équipement n’autorisent souvent pas l’installation de nouvelles versions ou n’offrent pas de patches. Et ce, alors que l’équipement n’a souvent jamais été conçu dans l’optique d’une protection contre des menaces pour la sécurité des informations.

Le rôle de la FDA Un rôle crucial est dévolu ici à la Food and Drug Administration (FDA) américaine, qui approuve la commercialisation et l’utilisation de l’équipement médical. Pour donner son approbation, la FDA prend surtout en compte le fonctionnement pratique et sûr de l’appareil et pas tellement ses dispositifs anti-malware, etc. En 2009, la FDA avait encore indiqué que ce dernier point était une responsabilité partagée entre l’utilisateur médical et le fabricant de l’appareil et qu'”habituellement, aucune approbation FDA n’est requise pour effectuer des changements, mises à jour et correctifs au niveau de la sécurité”. Nombre de fabricants interprètent ces mots de manière plus que réservée et ne prennent manifestement aucun risque au cours de la longue et coûteuse phase de test qu’ils doivent mener à bien. Qui plus est, ils utilisent parfois pour de… nouvelles versions des systèmes d’exploitation qui sont déjà en fin de carrière (comme de nouveaux appareils tournant sous Windows XP,…). Généralement, les utilisateurs d’appareils médicaux n’ont rien à opposer à ce type de décisions.

Dans un récent rapport du contrôleur gouvernemental américain GAO (Government Accountability Office, le pendant de la ‘Cour des Comptes’ américaine), l’on fait cependant observer que la FDA affirme elle-même accorder davantage d’attention à la cyber-sécurité dans l’équipement médical, mais que cela ne se traduit pas dans les faits. Il n’y a ainsi aucune preuve que le FDA effectue des tests en matière de saisie intentionnelle de données dangereuses en provenance de l’extérieur, ou d’attaques ciblées. Dans le groupe de discussion, la FDA a pourtant bien reconnu que le problème des appareils contaminés par du malware était largement répandu et qu’elle était en train de revoir son point de vue en matière de software.

Pas encore de victime Selon un expert médical américain, il n’y a pas encore de cas connu de patients qui auraient eu des problèmes à cause d’un équipement contaminé par du malware. Mais il y a bien des systèmes fonctionnant moins bien et affichant par exemple un retard dans le contrôle des foetus chez les femmes ayant une grossesse difficile. Cela s’est passé heureusement dans un service de soins intensifs, où du personnel médical de surveillance était aussi présent. Mais qu’en serait-il si un problème devait se manifester, alors que ce personnel est momentanément occupé ailleurs? L’on n’aurait pas non plus décelé de cas d’attaque ciblée sur de l’équipement médical en réseau. La principale difficulté consiste aujourd’hui à désactiver un appareil contaminé et à le remettre en état, afin qu’il soit de nouveau opérationnel après un certain temps (parfois long). Par ailleurs, des hôpitaux ont déjà été assez souvent la victime de contaminations virales, alors que le risque de pollinisation croisée ne peut être exclu.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire